Category Archives: Siber Güvenlik

  • 0

Millilik Hedefleri, Siber Güvenlik, Kişisel Veriler Üçgeninde “Milli Veri Tabanı”

MİLLİLİK HEDEFLERİ, SİBER GÜVENLİK, KİŞİSEL VERİLER ÜÇGENİNDE:
VERİTABANI MİLLİ OLMAZSA NE KADAR MİLLİ’YİZ, NE KADAR GÜVENDEYİZ ?

Mustafa AFYONLUOĞLU
afyonluoglu@gmail.com

18.02.2018

Anahtar Kelimeler: Siber Güvenlik, Milli Yazılım, Kişisel Veriler, Milli Veri, Milli Veritabanı

 

Siber güvenlik yaklaşımının, milli güvenliğin temel unsuru olduğu başta 2016 NATO Varşova Zirvesi’[1] sonuç bildirgesindeki (madde 4) açıklamalar ile birlikte ülkelerle birlikte artık uluslararası kuruluşların da siber alanı üst gündem maddesi olarak görmesi ve ülkelerin siber savunma sistemlerine yaptığı önemli yatırımlar ile daha da pekişmiştir. Örneğin Birleşik Krallığın 2016 yılındaki siber güvenlik bütçesi 2.5 milyar Euro olarak açıklanmıştır. Bu gelişmelere paralel olarak ülkemizde de siber güvenlik milli güvenliğin kritik bileşeni olarak kabul edilmiştir.

Kendi kontrolümüzde yazılım ve donanım üreterek bilgi ekonomisinin önemli küresel aktörleri arasında yer almak istiyorsak, yerli ve hatta milli yazılımın olmazsa olmaz ön koşul olduğu açık bir gerçektir. Ancak gözden kaçırılmaması gereken iki önemli başlık vardır:

  1. Aslında yazılımın “milli” olmasında, ülkemizin hedef ve çıkarlarına göre “davranan” algoritmayı elde etmek ana hedeftir. Böylece milli bir yazılım sadece ve sadece, sahibi olan kurumun, görev ve yetkilerine göre planladığı ve kurguladığı gibi çalışacaktır. Aynı husus, bu yazılımın çalıştığı ve yönettiği donanımlar için de geçerlidir. Örneğin savunma sisteminde yer alan bir cihaz, sanayi için geliştirilen bir robot, evimizdeki televizyon, yollardaki kameralar, trafikteki sinyalizasyon sistemi, üzerinde çalışan yazılım milli olmadıkça “her durumda” istenilen şekilde “davranmayabilir” ve “üreticisinin aklıyla hareket edebilir”.
  2. İkinci önemli husus bu yazılımın ürettiği “veri”nin de “milli” olmasıdır. Günümüz bilgi toplumunda en büyük ve en güçlü sermaye olan, hatta ülkelerin birbirlerine saldırılarının temel hedefi olan “veri” sadece sahibi tarafından erişilebilir, yetkilendirilebilir olmalı, mahremiyeti korunmalı ve bütünlüğü hiçbir zaman bozulmamalıdır.
    • Siber Saldırıların 2 temel hedefi vardır:
  3. Kritik altyapılara zarar vermek ya da hizmeti kesintiye uğratmak
  4. Veri’yi ele geçirmek
    • Verinin ele geçirilmesini engellemek için ilk şart, bu veriyi muhafaza eden yapının yani “veritabanı”nın sadece ve sadece bizim kontrolümüzde olması, yani “milli” olmasıdır.

 

Yazının tamamını okumak için lütfen buraya tıklayınız..


  • 0

Siber Güvenlik ve Milli Sertifikasyon Mekanizması

SİBER GÜVENLİK ve KAMU KURUMLARI için MİLLİ SERTİFİKASYON MEKANİZMASI
Mustafa AFYONLUOĞLU
afyonluoglu@gmail.com

 

21.01.2018

 

E-Devlet ve Siber Güvenlik

“Devletin, vermekte olduğu hizmetleri bilgi ve iletişim teknolojilerinden istifade etmek sureti ile daha hızlı, kolay, ekonomik şekilde her yerden ve her zaman vermesi” olarak hayatımıza giren “e-Devlet” kavramı, bu hizmetleri sağlarken temin ettiği ve hizmetler sonucunda oluşturduğu veriler bakımından “siber güvenliği” de beraberinde getirmiştir. Bu verileri genel çerçevede:

  • Kişisel veriler
  • Kamu verisi / kamu sırrı (Veri Gizlilik Seviyeleri)
  • Ticari veriler / ticari sırlar
  • Açık veri / anonim veri / istatistiki veri

olarak kategorize ettiğimizde, farklı güvenlik seviyelerinde korunması gereken bilgi kümelerinin olduğunu açıkça görürüz. Verinin güvenlik seviyesi yükseldikçe ona olan ilgi de artmakta ve siber saldırılara hedef olmaya başlamaktadır.

Özellikle kamu kurumlarında, e-Devlet çerçevesinde verilen hizmetlerin getirdiği entegrasyonlar sebebi ile siber güvenliği kurum bazında ele almak yeterli olmayıp bütüncül olarak yaklaşma zorunluluğu ortaya çıkmaktadır. Günümüzde olgunluk seviyeleri yüksek e-devlet projelerine sahip olan kurumlarımız, bir projede 10 ile 15 Bakanlık ve bazılarında 40’dan fazla kurumla entegrasyon yaparak hedeflediği hizmeti vermektedir. Böylesine yüksek sayıda ve karmaşık içerikte entegrasyonların yer aldığı projelerde, verilen hizmetin kalitesi ve sürekliliği kadar sistemin siber güvenliği de zincirin en zayıf halkasının güvenliği kadar olabilmektedir.

Siber Güvenlik ve Milli Güvenlik

MGK tarafından “Milli Güvenlik”, “Devletin milli varlığına, bekasına ve güvenliğine yönelik tehditlere karşı tedbirler almak için bölgesel ve küresel ortamın izlenerek tehdit ve fırsatların tespit edilmesi ile bu hususlara uygun siyasetin belirlenmesini ve en uygun politikaların uygulanmasını sağlayacak süreç ve unsurlar” olarak tanımlanmaktadır*1. Bu çerçevede milli güvenliğin temel unsurları arasında yer alan askeri, siyasi, diplomatik ve ekonomik bileşenlerin yanına “siber” unsurlar da girmektedir. Nitekim, savunma sahası bakımından Temmuz 2017 tarihli NATO açıklamasında, kara, hava, deniz ve uzay’dan sonra siber alan 5. operasyonel alan olarak ilan edilmiş*2, Aralık 2016’daki NATO toplantısında, uluslararası hukukun siber alanda da uygulanması gerektiği belirtilmiş ve 14 Aralık 2017 tarihinde, NATO’nun kolektif savunma çerçevesindeki çekirdek görevlerinden birisinin siber savunma olduğu vurgulanmıştır*3.

Siber güvenliğin, milli güvenliğin bir parçası olduğu çağımızda, aşağıdaki tespitler dikkat çekicidir:

  1. Türkiye’de kamu kurumlarında kullanılan siber güvenlik ürünlerinin temininde, hiç birisi için şart koşulan bir güvenlik sertifikasyonu / güvenlik onayı ve kontrol listesi mekanizması yoktur.
  2. Türkiye’de kamu kurumlarında kullanılan siber güvenlik ürünlerinin %97’si yabancı menşeili olup sadece %3’ü yerli ve/veya milli üründür*5.
  3. Geçmişte yabancı menşeili birçok ürünün, kriz dönemlerinde kamu kurumları ve özel sektördeki ürünlere uzaktan müdahale ettiği veya bu ürünlerin hatalı karar vermesini sağladıkları görülmektedir. Örneğin İsrail menşeili Checkpoint marka güvenlik duvarı yazlımı, Mavi Marmara ile ilgili haber yapan sitelerin tamamını “hacker” veya “porno” kategorisine alarak erişimin engellenmesini sağlamıştır. Benzer şekilde ABD menşeili anti-virus programı, “Free Gazze”, “Filistin” adı altında yapılan aramaları “terör” kategorisine sokarak erişimi engellemiştir*4.
  4. Günümüzde en etkin ve yaygın hedef odaklı siber saldırı gruplarının tamamı devlet desteklidir. Bu grupların temel motivasyonu casusluk ve kritik altyapılara sabotajdır*6.
  5. 06 Nisan 2017 tarihli NATO’nun Varşova Zirvesi’ndeki açıklamasında, Denver Üniversitesi’ne yaptırdığı araştırmada, 2030 yılında Siber Güvensizlik hacminin 90 trilyon dolar olduğu öngörülmüştür.
  6. Ülkelerin siber güvenlik bütçeleri gün geçtikçe savunma bütçeleri ile yarışacak seviyede artmakta olup Fransa’nın bu alandaki 2014 bütçesi 1 milyar €, İngiltere’nin 2016 yılı siber güvenlik bütçesi ise 5 milyar €’dur.
  7. 2017’de Türkiye’deki siber güvenlik pazarının hacmi yaklaşık 5 milyar dolar olarak ölçülmüştür.
  8. Siber güvenlik dünyasında oluşturulan ürün ve hizmetler, bu ciddi pazardan pay almak üzere önemli bir alan olarak gündeme gelirken, ayrıca siber istihbarat, siber casusluk, siber saldırı gibi alanlar için de olası bir araç olarak karşımıza çıkma potansiyeli barındırmaktadırlar.

Yazının tamamını okumak için buraya tıklayınız.


  • 0

Siber Güvenlik ve Milli Kapasite Oluşturma üzerine Politika Önerileri

SİBER GÜVENLİK ve MİLLİ KAPASİTE OLUŞTURMA
Mustafa AFYONLUOĞLU

20.11.2017

Giriş
Siber güvenlik alanında artık telaffuzu dahi güç hacimlerin bir çığ gibi dünya gündeminde ilerlediğini ve bu alanda nitelikli insan kaynağı kapasitesi yetiştirme konusunda ciddi problemler olduğunu yakınen izlemekteyiz. Türkiye olarak, bu alanda farkındalığın her kesimde arttırılması, uzman yetiştirilmesi, özel sektör ve kamu kurumlarında ihtiyaç duyulan kapasitenin yaratılması için ne gibi adımlar atılabileceğini ele almadan önce, 2 yıl gibi kısa bir süre içerisinde bizleri ve tüm dünyayı bu alanda bekleyen ihtiyaçlara kısaca bir göz atalım:

Dünyada Siber Güvenlik’teki Hacimler ve Kapasite İhtiyaçları
Gartner Raporlarına göre siber güvenlik alanında 2015’de 75.4 Milyar $ olan marketin 2020 yılında 170 milyar dolara çıkacağı düşünülmektedir. Markets & Markets’e göre bu hacim 2022 yılında 232 milyar $’a çıkacaktır . Stanford Üniversitesi’nce yapılan bir proje çerçevesinde yayınlanan İşgücü İstatistiklerine göre, 2015 yılında sadece ABD’de, siber güvenlik uzmanı arayan 209.000 iş ilanı, ihtiyaç duyulan uzmanı bulamamıştır ve son 5 yılda bu ilanlar %74 artmıştır. Cisco tarafından yayınlanan siber güvenlik raporuna göre, 2016 yılında yaklaşık bir milyon olan siber güvenlik uzman talebi yayınlamıştır. Symantec CEO’sunun açıklamalarına göre 2019 yılında siber güvenlik uzmanı talebinin 6 milyona ulaşması ve 1.5 milyon uzman açığının karşılanamayacağı beklenmektedir .

Yazının birinci bölümünün tamamını okumak için buraya tıklayınız.


  • 0

Neden “TAM MİLLİ” Siber Güvenlik ?

Tags : 

NEDEN "TAM MİLLİ" SİBER GÜVENLİK ?

24.05.2017

cyber2

Milli Güvenlik = Siber Güvenlik

2016 yılında NATO tarafından, deniz, hava, kara ve uzay'dan sonra beşinci savunma alanı olarak ilan edilen "siber alan", özellikle son br kaç yıl içerisinde şiddeti, yıkıcılığı ve hacmi hızla artan ve devlet-destekli olarak konumlandırılan siber saldırılar, Siber Güvenlik'in bir Milli Güvenlik bileşeni olduğu konusunda çok net gelişmeler olarak gündemimizde yer almaktadır.

Nitekim 2016 NATO Varşova Zirvesi'nde, Ulusal Siber Güvenlik Bütçesi olarak Fransa'nın 2014 yılında 1 Milyar Euro, İngilter'nin 2016 yılında 2.5 Milyar Euro ayırdığı belirtilerek konunun ülke güvenliğindeki önemi masaya yatırılmıştır.

"Tam Milli" Nedir ?

Donanım veya yazılım olarak geliştirilen bir üründe, tüm bileşenlerin milli olması önemli ve değerlidir. Ancak özellikle "siber güvenlik" alanında, bir yazılım ürününün tüm bileşenlerinin milli olmasına rağmen kullanılan herhangi bir yazılım kütüphanesinin dışarıdan hazır kullanılması, içine hakim olunamayan ve gerçekleştirdiği fonksiyonlardan emin olunmayan bir kara kutu bileşeni demektir.

"Güvenlik" hassasiyetinin esas olduğu böyle bir alanda karşımıza çıkan böyle bir ürün, en zayıf halkası olan bu bileşen hadar güvenli olacaktır. Dolayısıyla bir yazılım ürününde, tüm kütüphaneleri ve bileşenlerinin kaynak kodlarına sahip değilseniz (veya bu bileşen ve kütüphaneler, ülkedeki güvenilir bir milli kurum tarafından üretilmemiş ise), bu öçözüm "Tam Milli" değildir.

Bu tür ürünlerin, bazı durumlarda kaynak kod güvenlik testlerinde dahi "kara kutu"larda gizlenmiş fonksiyonların tespit edilemediği bir çok olay, yakın geçmişte internetteki haberlere de yansımıştır.

Neden "Tam Milli" Siber Güvenlik ?

Kamu kurumlarındaki kamu, vatandaş ve sektör verilerini emanet edeceğimiz ve özellikle milli güvenliğe ilişkin elektronik sistemlerde siber güvenliği sağlayacağımız durumlarda ürünlerin Milli olmasından öte "Tam Milli" olması işte bu yüzden önemlidir.

Security concept: Red Shield With Keyhole on digital background, 3d render

Aksi takdirde muhtelif hazır kütüphaneler ile bu sistemlere sızılması ile tüm verielre erişilmesi mümkün olacak, her türlü veri sızıntısı, kritik altyapılarda sistemlerin sabote edilmesi veya uzaktan erişilebilmesi gibi yüksek önem taşıyan riskler gündeme gelecektir.

Bu sebeple, siber güvenlik ürünlerinde ihtiyaç duyulan temel altyapılar ve çerçeveler devlet tarafından AR-GE çalışmaları yapılarak kütüphane şeklinde milli özel sektöre sunulmalı ve bunun üzerine siber güvenliktelki milli ürünler inşa edilmelidir.


  • 0

BUSİBER – 2017’de Siber Güvenlik, Milli Çözümler ve Türkiye: “NE’ler ve NASIL’lar”

Tags : 

Bogazici-Etkinlik
20170508-BUSIBER

2016 yılında NATO tarafındani deniz, hava, kara ve uzaydan sonra  5. savunma alanı olarak kabul edilen siber alan, "askeri, syiasi, diplomatik ve ekonomik" unsurlar ile birlikte Milli Güvenlik'in en kritik bileşeni olarak karşımıza çıkmaktadır.

Nitekim Ulusal Siber Güvenlik Bütçesi olarak 2014 yılında Fransa 1 milyar Euro bütçe ayırmış, 2016 yılında İngilterenin bu alana ayırdığı bütçe ise 2.5 Milyar Euro'ya ulaşmıştır. NATO tarafından Denver Üniversitesi'ne yaptırılan ve 2016 yılında NATO Varşova Zirvesi'nde açıklanan bir araştırma sonucuna göre, 2030 yılında Siber Güvensizlik'ten kaynaklı ortaya çıkan hacmin 90 Trilyon Dolar'a ulaşması beklenmektedir.

27 Nisan 2017 tarihli (Symantec Internet Güvenlik Tehditleri Raporu - ISTR Vol:22) raporda vurgulandığı üzere, 2016 yılında öne çıkan 10 büyük siber saldırı grubu, kendi hükümetleri tarafından desteklenmektedir (state-sponsored) ve temel motivasyonları siber casusluk, kritik altyapılara zarar verme ve hükümet devirme/siyasi manipülasyon gibi başlıklardır. 2016 yılı boyunca yapılan saldırılarda en dikkat çekici başlıklar veri sızıntısı ve fidye yazılımlardır. Bir önceki yıla göre 2 kat artarak 2016 yılında 1.1 milyar kimlik verisi sızıntısı yaşanmış, fidye yazılımlarda ise ödenen fidye miktarı yarım milyar doları aşmıştır. Son 8 yılda dünya genelinde yaşanan toplam veri sızıntısı ise 7.1 milyara erişerek neredeyse dünya nüfusuna ulaşmıştır.

Bu denli önemli bir çerçevede Türkiye olarak gerekli tedbirlerin alınması ve kamu kurum ve kuruluşları, üniversiteler ve kiritik altyapılar başta olmak üzere bütüncül bir yaklaşım sergilenmek üzere Ulusal Siber Olaylara Müdahale Merkezi (USOM / TR-CERT) kurulmuş ve her kurum/kuruluşta "Siber Olaylara Müdahale Ekibi" (SOME) konumlandırılmasını öngören mevzuat 11 Kasım 2013 tarihinde yayımlanmıştır. (Siber Olaylara Müdahale Ekiplerinin Kuruluş, Görev ve Çalışmalarına Dair Usul Ve Esaslar Hakkında Tebliğ)

Bununla birlikte kurulması hedeflenen ve günümüz itibarı ile 666 tanesinin kuruluşu tamamlanmış olan ve yerel yönetimler ile birlikte sayısının 1000'leri aşması beklenen SOME'lerin etkin ve başaşrılı hizmet verebilmesi için bir takım teknik, idari ve hukuki ilave çalışmaların yapılması gerektiği açıktır.

Bu sunumda, SOME'lerin daha güçlü hizmet verebilmesi için:

  • Kurum için yönetişim bakımından öneriler
  • Bağlı bulundukları USOM'un güçlendirilmesine yönelik tavsiyeler
  • SOME'lerde niteklikli insan kaynağı kapasitesi oluşturulmasına yönelik öneriler, kritik görev alanı olması ve 7/24 erişilebilirliği gerektirmesinden dolayı SOME personeline mali teşvikler

yer almaktadır. Bu çalışmada ayrıca ilk kez "TAM MİLLİ SİBER GÜVENLİK" kavramı ortaya konulmuş ve "tam milli" yaklaşımındaki beklentiler ile siber güvenlik alanında geliştirilen milli ürünlerin neden "tam milli" olması gerektiği ele alınmış, bu çerçevede kamu ile milli özel sektör araındaki iş birliğinini aşamalarındaki beklentiler masaya yatırılmıştır.


05.09.2017 tarihinde Boğaziçi Üniversitesi Siber Güvenlik Merkezi tarafından düzenlenen "Türkiye'de SOME'ler ve Siber Güvenlikte Yerli Milli Çözümler" Sempozyumunda yaptığım sunuma ait sunum dosyasını aşağıdaki bağlantıdan indirebilirsiniz.